Curly COMrades ligados à Rússia implantam malware MucorAgent na Europa
Um novo relatório da Bitdefender revela que o grupo de hackers Curly COMrades, ligado à Rússia, está mirando a Europa Oriental com um novo backdoor chamado MucorAgent. Descubra como eles estão usando táticas avançadas para roubar dados.
Um novo grupo de hackers com ligações à Rússia foi identificado por pesquisadores de segurança cibernética da Bitdefender. O grupo, chamado Curly COMrades, tem como alvo ativo países do Leste Europeu que enfrentam tensões geopolíticas.
De acordo com a investigação da Bitdefender, compartilhada com o Hackread.com antes de sua publicação, os ataques começaram em meados de 2024. Os alvos do grupo incluem órgãos governamentais e uma empresa de distribuição de energia no Leste Europeu, especificamente na Geórgia e na Moldávia, onde as tensões geopolíticas são altas. O principal objetivo desses hackers é espionar seus alvos e roubar informações confidenciais.
O Curly COMrades utiliza técnicas avançadas para se manter oculto e manter acesso de longo prazo às redes de computadores de suas vítimas. Uma de suas principais ferramentas é um novo tipo de backdoor chamado MucorAgent. O que torna esse malware particularmente inteligente é a forma como ele se mantém no computador. Os hackers encontraram uma maneira de sequestrar um componente interno do Windows chamado NGEN, que normalmente ajuda os aplicativos a rodarem mais rápido.
Ao explorar uma tarefa agendada inativa dentro do NGEN, os hackers podem reativar secretamente seu malware em momentos aleatórios, como quando o computador está ocioso ou um novo programa é instalado. Esse método imprevisível torna muito mais difícil para as equipes de segurança detectar e remover a ameaça. Os pesquisadores observaram que essa técnica, que utiliza o sequestro de CLSID em conjunto com o NGEN, é "sem precedentes em nossas observações".
O grupo também utiliza ferramentas de proxy especializadas, como Resocks e Stunnel, além de outros métodos, como Mimikatz e DCSync, para roubar senhas e outras credenciais. Essa tática os ajuda a se camuflar na atividade normal da internet, driblando diversos sistemas de segurança.
O que acontece é que os Curly COMrades obtêm acesso a uma rede de computadores, criam um caminho secreto usando ferramentas como Resocks e Stunnel e instalam o malware MucorAgent. Esse malware engana o NGEN, sequestrando uma tarefa oculta e reaparecendo mesmo após a remoção. Os hackers usam sites comprometidos como iscas para enviar as informações roubadas de volta aos seus servidores, dificultando o rastreamento.
Em seu relatório técnico, a Bitdefender explicou que o nome do grupo, Curly COMrades, vem do uso intensivo da ferramenta "curl.exe" pelos hackers e seu foco em sequestrar objetos COM . Os pesquisadores escolheram o nome para evitar dar aos agentes de ameaças nomes "legais" ou "chiques", como é a tendência atual na comunidade de segurança cibernética, argumentando que isso pode inadvertidamente glorificá-los. Eles acreditam que, ao escolher um nome menos lisonjeiro, podem "desglamourizar o crime cibernético, eliminando qualquer percepção de sofisticação ou mistério".
HackRead
